Cryakl/Fantomasの犠牲者を救う新たな復号ツール

2018年2月23日

ランサムウェアの被害を受けた人々を救済するためのプロジェクト「No More Ransom」よりお知らせです。ベルギー警察は、Kaspersky Labの協力を得て、ランサムウェア 「Cryakl」の新バージョン(別名Fantomas)により暗号化されたファイルの復元に必要な鍵を入手しました。アップデートされた復号ツールは、すでに本プロジェクトのWebサイトで公開されています。

Cryaklとは

トロイの木馬型ランサムウェアCryakl(Trojan-Ransom.Win32.Cryakl)は、以前から存在していました。Cryaklは当初、仲裁裁判所から送信されたように見せかけた不正行為に関するメールの添付ファイルを通じて拡散しました。このようなメールには人の神経を逆なでするところがあり、普段は慎重な人でもつい添付ファイルをクリックしてしまう傾向があります。Cryakl付きメールは後に多様化し、自治会などさまざまな組織からのメールを装うようになりました。

Cryaklは、感染先のコンピューターでファイルを暗号化するときに長い鍵を1つ作成し、これを指令サーバー(C&Cサーバー)に送ります。この鍵がなければ、Cryaklに攻撃されたファイルを復元することはほぼ不可能です。続いて、デスクトップの壁紙を、マルウェア作成者との連絡方法と身代金の要求について書かれたメッセージに置き換えます。1964年制作のフランス映画に登場する覆面の怪盗ファントマ(Fantomas)の画像も同時に表示するところから、Cryaklは「Fantomas」の名でも呼ばれます。Cryaklは主にロシア国内の人々を標的にしているため、このマルウェアについて入手できる情報の大部分はロシア語で書かれています。

事実と数字が語るランサムウェアの歴史と進化

成功までの道のり

ベルギーのFederal Computer Crime Unit(FCCU)が、国内のランサムウェアによる被害発生情報を受けて捜査を開始。隣国で指令サーバーを発見しました。ベルギー連邦検察局主導の作戦で、このサーバーと、感染したマシンからマスター鍵を受け取っていた別の指令サーバー数台の稼働を停止するに至りました。続いて、以前にも同様のケースで実績を持つKaspersky Labが支援に乗り出し、データの分析と復号鍵の抽出に貢献しました。

復号鍵は、No More Ransom のWebサイトに掲載されているRakhniDecryptorツールに追加済みです。また、ベルギー連邦警察はNo More Ransomプロジェクトの公式パートナーとなりました。

No More Ransomは2016年7月に発足したプロジェクトで、ランサムウェアによって使用不能となったファイルの復号を無料で支援してきました。これまでにファイルを取り返すことができた人々は数万人超、サイバー犯罪者に渡さずに済んだ身代金の額は少なくとも1,000万ユーロ相当に上ります。

No More Ransom:実り多き1年

Cryaklに暗号化されたファイルの救済方法

No More Ransomのサイトには、Cryaklによってダメージを受けたファイルの復号ツールが2種類用意されています

2016年から提供されている「RannohDecryptor」は、古いバージョンのCryaklに対応したツールです。NoMoreRansom.orgからダウンロードできます。復号の手順はこちらを参照してください。

「RakhniDecryptor」は、ベルギー警察が押収したサーバーから抽出したマスター鍵を追加して先日アップデートされました。新しいバージョンのCryaklに暗号化されたファイルの復号には、RakhniDecryptorをお使いください。こちらもNoMoreRansom.orgからダウンロードできます。復号の手順はこちらをご覧ください。

今後も安全でいるためには

暗号化型ランサムウェア対策としては、治療よりも予防の方がはるかに簡単で安く済みます。ファイルの復号で大騒ぎをするよりも、今すぐ安全を確保して枕を高くして寝られる方がずっとよい、と言い換えることもできるでしょうか。そこで、予防的な対策のヒントをご紹介しましょう。

  1. 重要なファイルは必ずコピーを作成し、クラウド、別のドライブやコンピューター、USBメモリなどどこか別の場所に保管しておきましょう。詳しいバックアップ方法については、こちらをご覧ください。
  2. 信頼できるセキュリティ製品を使いましょう。
  3. 信頼できるかどうか怪しいところからプログラムをダウンロードするのは止めましょう。自分のコンピューターに入れたくないものがインストーラーに仕込まれていることがあります。
  4. 知らない送信元からのメールに添付されたファイルは、重要そうで信頼できそうに見えても、すぐに開かないでください。疑わしいときは、送信元の公式Webサイトで電話番号を調べ、電話をかけて確認しましょう。